Falha no protocolo MCP permite que extensões do Chrome acessem dados sem autorização

Pesquisadores da empresa ExtensionTotal acenderam um alerta após identificarem uma extensão do navegador Google Chrome que utiliza um motor de inteligência artificial (IA) para executar ações sem qualquer interação ou consentimento do usuário. A descoberta levanta preocupações sobre a infraestrutura dos agentes de IA, projetados para automatizar tarefas online enquanto o usuário realiza outras atividades.

Em um artigo publicado no Medium em 24 de abril, os pesquisadores explicaram que a extensão suspeita se comunicava com um servidor Model Context Protocol (MCP) operando na máquina local do usuário. O MCP, lançado pela Anthropic em novembro de 2024, foi projetado como um padrão aberto para facilitar a comunicação entre agentes de IA e diversas ferramentas ou serviços, tanto locais quanto remotos. Entre os produtos da Anthropic, destacam-se modelos de IA generativa e o chatbot Claude.

A arquitetura do MCP envolve a instalação de um "host" local — que pode ser um aplicativo com IA integrada, um grande modelo de linguagem rodando na máquina ou mesmo uma IDE como o Visual Studio — que se conecta a vários servidores MCP. Esses servidores fornecem acesso a recursos locais, como sistemas de arquivos e bancos de dados, ou a serviços externos, como APIs e soluções na nuvem. Toda a comunicação é feita por meio de um protocolo padronizado que garante a estruturação das mensagens e a compatibilidade entre diferentes ferramentas.

Embora a arquitetura do MCP traga vantagens como padronização e eficiência, a pesquisa da ExtensionTotal revelou um grave problema: por padrão, os servidores MCP são abertos e aceitam requisições HTTP POST via Server-Sent Events (SSE) sem exigir autenticação. Isso significa que qualquer processo local, incluindo extensões de navegador, pode enviar comandos ao MCP sem obstáculos.

Yuval Ronen, principal autor do relatório, questionou: "Se uma extensão do navegador pode se comunicar com um servidor MCP local, o que a impede de acessar recursos sensíveis ou executar ações privilegiadas através do MCP?". Para comprovar a gravidade da situação, a equipe criou uma extensão de prova de conceito que tentava se conectar ao endereço localhost:3001, porta padrão utilizada por servidores MCP baseados em SSE.

O resultado foi alarmante: a extensão conseguiu interagir livremente com os serviços disponibilizados pelo MCP, como acesso ao sistema de arquivos local, sem qualquer necessidade de permissão explícita ou autenticação. Isso significa que, na prática, uma extensão poderia ler, modificar ou até mesmo exfiltrar dados diretamente do dispositivo da vítima, violando completamente os princípios de segurança do Chrome, como o isolamento promovido pelo sandbox.

Teoricamente, as extensões do Chrome, mesmo possuindo permissões ampliadas em comparação a páginas web comuns, ainda deveriam respeitar o isolamento do sistema operacional e dos recursos locais. No entanto, o acesso irrestrito ao localhost rompe essa barreira, criando uma porta de entrada para invasores explorarem serviços vulneráveis, como servidores MCP mal configurados.

O impacto potencial é vasto. Os pesquisadores identificaram servidores MCP que expunham integrações com aplicações como Slack, WhatsApp e sistemas de gerenciamento de arquivos, aumentando ainda mais o risco de comprometimento de dados sensíveis. Para organizações, essa falha representa não apenas uma nova vulnerabilidade, mas toda uma nova superfície de ataque que, até agora, vinha sendo subestimada.

"A questão deixou de ser teórica", alertou Ronen. "Agora estamos diante de um risco real, que pode ser explorado em larga escala. Se não forem tomadas medidas rápidas para proteger esses servidores e ajustar o modelo de segurança do MCP, usuários e empresas estarão vulneráveis a ataques furtivos extremamente perigosos."

Via - ISM